GDPR for dummies…

Vad är GDPR?

GDPR står för General Data Protection Regulation eller Dataskyddsförordningen på svenska. Det är en EU-förordning som med exakt lika lydelse gäller för alla länder inom EU. Det vanligaste inom EU är att man skapar gemensamma regler genom direktiv, vilket innebär att det enskilda landet omvandlar direktivet till inhemsk lagstiftning. Genom detta ges en möjlighet att i vissa avseenden ge en lokal prägel på reglerna, till exempel mildra konsekvenserna vid brott mot dessa. I det här fallet är det en förordning, som kommer ur en annan lagstiftningstradition med väldigt tuffa sanktioner. Böter upp till det högre beloppet av antingen 20 miljoner EURO eller 4% av årsomsättningen.

Vem behöver bry sig om GDPR?

De personer som är ansvariga är juridiska personer (bolag), fysiska personer (individer), offentliga verksamheter (kommuner, landsting, myndigheter) och andra organisationer (till exempel föreningar). Med andra ord träffas alla av förordningen. Rent privata syften undantas, till exempel ett släktalbum på Flickr, men allt annat träffas.

Vilka typer av uppgifter?

De uppgifter som förordningen skyddar inkluderar alla uppgifter som – på ett eller annat sätt – kan knytas till en enskild individ. Det gäller inte bara strukturerad data i en databas eller annat register, utan även ostrukturerade uppgifter, till exempel ett e-postmeddelande, ett enskilt dokument, eller ett omnämnande i en företagsblogg. Det finns heller inget krav på att uppgifterna ska finnas i just ett IT-system, utan även fysiska register och arkiv innefattas.  När det gäller själva formatet träffas alla format, som text, ljud, bild, video med mera.

Vilka aktiviteter regleras?

Förordningen reglerar personuppgiftsbehandling. Med det avses insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning och spridning av personuppgifter. Det vill säga i princip varje sak man kan tänkas vilja göra med uppgifterna

Hur ser skyddet ut?

Den som är registrerad ska som huvudregel samtycka till behandlingen för ett tydligt och avgränsat syfte. Det ställs särskilda krav på hur samtycket ska utformas. Samtycket kan återkallas när som helst av den registrerade. En registrerad har också alltid rätt att begära ut sina uppgifter, ändra om det föreligger något fel eller radera dem. Registrerade har också rätt att förbjuda ytterligare bearbetning av uppgifterna, till exempel för statistikuttag eller direkt marknadsföring.  Om det finns en avtals- eller affärsförpliktelse i botten som förutsätter att uppgifter samlas in behövs –av naturliga skäl – inget samtycke, men uppgifterna får endast användas för just det syftet, och inget annat.

Utöver det här ställs också krav på en aktiv och hög av informationssäkerhetsnivå. Ett dataintrång ska meddelas inom 72 timmar till tillsynsmyndigheten (Datainspektionen) och i vissa fall, direkt till den registrerade.

Vad ska jag göra som personuppgiftsansvarig?

Rent allmänt har personuppgiftsansvarig det yttersta ansvaret för att förordningen följs. Utöver det finns det antal särskilt angivna uppgifter:

  • Ansvara för (en aktiv och hög) informationssäkerhet
  • Föra register över alla personuppgiftsbehandlingar
  • Ansvara för att föreskriven organisation inrättas
  • Bistå tillsynsmyndigheten (Datainspektionen)